I molteplici apparati tecnologici che popolano le nostre case sono di solito analizzati alla luce delle problematiche che ruotano attorno all’efficienza energetica. Un aspetto particolare di questi dispositivi “smart” che spesso viene trascurato, ma che merita una analisi più approfondita, è quello della sicurezza.
Il CES 2014, riconfermandolo con l’edizione 2015 (ces.tech) ha definitivamente incoronato a pieno titolo la partenza del mercato delle smart house: quel mercato fatto di tanti oggettini il cui fine è rendere interattiva la nostra casa. Il nostro futuro sembra dunque segnato: accenderemo le luci dal touchscreen della lavatrice, la nostra casa – connessa con la nostra auto – saprà che stiamo arrivando ed avvierà la climatizzazione piuttosto che accenderà le luci del giardino, quindi una app connessa al frigorifero ci ricorderà di fare la spesa e ci aiuterà nel tenere la contabilità mensile della casa.
Questo scenario, a tratti inquietante, ci espone ad un grande rischio: la sicurezza. Lo stereotipo del ladro è il grimaldello o il piede di porco: e se tra dieci anni fosse sufficiente un IPhone per forzare la porta di casa? Il proliferare di vari e tanti piccoli oggetti connessi ad internet rende assai realistico questo scenario che ad oggi siamo abituati a vedere relegato nei monitor dei nostri PC. Se ci pensiamo bene le piccole ipCam che distribuiamo all’interno delle nostre case, magari per tenere sotto controllo il bebè, sono dotate di un sistema operativo che, seppur minimale, è connesso ad Internet ed è quindi soggetto ad attacchi di tipo informatico. Accessi indesiderati alla nostra casa possono essere anche dettati da ragioni strategiche come per il caso NSA, nel quale alcuni giganti del mondo IT avevano lasciato in maniera più o meno voluta dei “buchi” nei loro oggetti per permettere l’accesso ad essi da entità intenzionate al controllo ed al monitoraggio.
Ma cosa lega la sicurezza con i consumi energetici?
La risposta è semplice: all’interno delle curve dei consumi energetici sono contenute delle informazioni sensibili che dobbiamo proteggere! Conoscere quando e come i nostri elettrodomestici consumano è per noi una informazione utile per ridurre la bolletta, mentre per un ladro significa sapere quando siamo in casa. Informazioni utili dunque, che devono però rimanere private.
Posto che non tutti possono essere degli abili ingegneri informatici (e alle volte neanche basta) è necessario comprendere in modo semplice quelle poche e semplici regole per difenderci da queste potenziali invasioni della nostra privacy.
In che modo quindi possiamo rendere sicuri i nostri sistemi? L’informatica ha un ruolo sempre più preponderante nell’ambito dell’automazione, il sospetto è spesso quello che questo tipo di mondo sia ancora troppo vicino a quello dell’elettrotecnica e della plastica, l’attenzione alla sicurezza informatica è così demandata ad un ruolo di secondo ordine. Prove di questo sentore si possono trovare nei tanti blog, alcuni di questi autorevoli, nei quali si susseguono prove ed istruzioni anche banali per violare (in gergo “hack”) questi dispositivi.
Di seguito vogliamo proporre una serie di punti da tenere in considerazione per comprendere se quanto state per acquistare è più o meno sicuro:
1) Il sistema si connette ad internet con una connessione ssl?
SSL è un protocollo di offuscamento delle informazioni che garantisce che quanto viene visualizzato sullo schermo può essere visualizzato solamente dal mittente e dal destinatario, nel nostro caso dall’oggetto smart e dall’utente; tutti gli altri possono vedere il flusso di dati ma non sapendolo interpretare vedranno solamente una serie di caratteri incomprensibili.
2) Ho cambiato la password di default?
Molti di noi sono portati ad utilizzare la password di default che ci viene proposta, ma attenzione: una password lunga non sempre è sinonimo di sicurezza, ad esempio molti dei router WiFi che abbiamo in casa assegnano delle password di default derivate dal nome della rete WiFi, in altre parole noto il nome…trovata la password. Stessa cosa vale per gli oggetti che ci chiedono una password per accedere: dobbiamo cambiarla subito, mai tenere la password di default
3) Utilizzo la stessa password per la casa e per la mail?
Utilizzare una password per tutto è una pratica quanto mai diffusa e assai pericolosa. E’ chiaro che non possiamo avere centinaia di password, sarebbe impossibile gestirle, tuttavia utilizzare una password per gli account on line tipo facebook & co, una password per gli affari bancari ed una password per gli oggetti di casa è una pratica che può evitare che un malintenzionato possa entrare in casa conoscendo la password della mail.
4) I sistemi domotici offrono un adeguato grado di sicurezza per l’accesso remoto?
Sempre più spesso gli utenti sfruttano la possibilità di controllare e gestire a distanza le diverse funzionalità offerte dai propri sistemi domotici, collegandosi ai server esterni attraverso le apposite app. Ma che grado effettivo di sicurezza offrono questi server? Considerando le numerose minacce provenienti da internet, il grado di sicurezza offerto dall’accesso remoto deve essere particolarmente elevato, al fine di proteggere gli utenti da possibili tentativi di intrusione. L’utilizzo di SSL e di una password superiore agli 8 caratteri è condizione minimale a garantire la sicurezza.
5) Dove vengono archiviati i miei dati?
Nel mondo del cloud ci sembra ormai normale archiviare on line i nostri documenti, finchè si tratta del file con la lista della spesa poco male, ma quando si tratta dei dati tipo i consumi dobbiamo avere la garanzia che questi vengano archiviati in forma anonima, questo è fondamentale! Le banche dati, per quanto sicure, possono essere violate, in caso di accesso indesiderato è importante sapere che chiunque guardi i nostri dati non saprà ricondurli a noi.
6) Il sistema è pensato con una doppia autenticazione?
Molti sistemi al primo accesso (si pensi alle banche) richiedono l’immissione di una password lunga e di una successiva seconda password, magari più corta. Dal secondo accesso in poi sarà sufficiente inserire la password corta e re-inserire quella lunga su richiesta solo di tanto in tanto. Questa metodologia di autenticazione ci mette al riparo da moltissimi rischi: quello che accade infatti è che con l’immissione della password lunga al primo accesso il sistema “registra” il dispositivo e lo riconoscerà all’accesso successivo. Il fatto che qualcuno ci spii durante l’immissione di una password è possibile, ma quando proverà ad accedere con il suo dispositivo gli verrà richiesta la password lunga perché quel dispositivo non è registrato salvandoci così da un potenziale accesso indesiderato. Se per sistemi tipo la mail questo potrebbe apparire superfluo (anche se superfluo non è), diventa fondamentale quando una password apre le porte delle nostre case.
La necessità della privacy domestica è una di quelle cose che probabilmente non cambierà mai nel tempo, è una necessità e anche un diritto, leggi ed altro possono solo arginare questi rischi ma oramai il fiume è in piena, dobbiamo tutelarci da soli, bastano poche accortezze, non illudiamoci che queste siano esagerazioni, potremmo pentircene amaramente. Tutti avvisati!
Gli autori:
Adriano Cerocchi
classe 1985 è dottore di ricerca in ingegneria informatica nonché socio fondatore e A.D. di Over Spa, primo spin-off di prodotto dell’università di Roma La Sapienza. Adriano, oltre al rilevante curriculum accademico ed alla collaborazione con il CIS: il centro di ricerca in Cyber Intelligence , si occupa di problematiche legate all’energia, grazie a un’esperienza maturata sul campo nell’ambito dell’installazione di impianti domotici evoluti e nell’ambito della ricerca che conduce ormai da diversi anni nello stesso settore.
Antonio Ursini
E’ studente della laurea magistrale in ingegneria informatica dell’università di Roma La Sapienza. Ha partecipato attivamente all’insieme di seminari sulla domotica dello stesso corso di laurea e, grazie ad una passione per la sicurezza informatica, ha collaborato attivamente alla stesura del presente articolo.
Per maggiori informazioni:
Consumer Technology association
ces.tech